Was sagen die Parteien zum Datenschutz?
Welche Erwartungen habt Ihr an die neue Bundesregierung, speziell im Beschäftigtendatenschutz?
Ab Mai 2018 gilt mit der Datenschutzgrundverordnung, der DSGVO, europaweit ein neues Datenschutzrecht. Dies sollte Anlass und Ansporn sein, die seit über 30 Jahren dümpelnde Diskussion über ein Beschäftigtendatenschutzgesetz zu einem Ergebnis zu bringen, wozu die DSGVO geradezu einlädt. Wir brauchen endlich ein modernes Gesetz, das die Grundrechte der Beschäftigten schützt und nicht die Züge eines Überwachungsermächtigungsgesetzes trägt.
Kommen wir denn mit dem neuen Datenschutzrecht ab Mai 2018 nicht ganz gut über die Runden?
Die DSGVO ist bezüglich Beschäftigtendatenschutz hinter unseren Erwartungen zurückgeblieben. Sie verschanzt sich in Artikel 88 hinter einer sogenannten Öffnungsklausel für den nationalen Gesetzgeber. Die EU-Staaten, also auch Deutschland, dürfen und sollen diesen Bereich selbst regeln, müssen allerdings die Grundprinzipien der DSGVO einhalten.
Leider hat die alte Bundesregierung zum Ende der 18. Legislaturperiode das Bundesdatenschutzgesetz im Hauruck-Verfahren angepasst und in einem einzigen Paragraphen den Beschäftigtendatenschutz abgehandelt. Der § 26 BDSG-neu beleuchtet einige Aspekte, die wir aus dem alten § 32 BDSG kennen, und Rudimente weiterer Datenschutzfragen im Arbeitsverhältnis. Ein roter Faden ist nicht zu erkennen. Von einer systematischen und vollständigen Schutzregelung kann keine Rede sein.
Was gilt es vor allem für Betriebs- und Personalräte zu beachten?
Die Anwendung datenschutzrechtlicher Vorschriften im Betrieb ist nicht einfacher geworden. Die in der Grundverordnung niedergelegten Prinzipien gelten auch für Beschäftigte, daneben ist der genannte § 26 des neuen BDSG zu beachten. Hinzu kommen verstreute Regelungen und die Rechtsprechung des Bundesarbeitsgerichts. Die DSGVO enthält einige altbekannte Prinzipien, zum Beispiel das Verbot mit Erlaubnisvorbehalt, das Gebot zur Datensparsamkeit, der Rahmen für wirksame Einwilligungen oder Einschränkungen bezüglich besonders sensibler Daten.
Im neuen BDSG werden unter anderem die erlaubten Zwecke der Beschäftigtendatenverarbeitung genannt sowie eine Nutzungserlaubnis bei Straftaten, Voraussetzungen für die Freiwilligkeit einer Einwilligung, eine Generalklausel zur Verarbeitung medizinischer Daten. Zudem gibt es die Feststellung, dass die Rechte der Arbeitnehmervertretungen unberührt bleiben.
Explizit wird klargestellt: Auch Kollektivvereinbarungen - damit sind ausdrücklich auch Betriebsvereinbarungen gemeint - können Datenverarbeitungen legitimieren. Beschäftigtenvertretungen können sich mit ihren Vereinbarungen auf Art. 88 DSGVO stützen, wobei sich diese aber im verbindlichen Rahmen der DSGVO bewegen müssen.
Muss ein besonderes Augenmerk auf den Datentransfer in Unternehmen gelegt werden?
In Bezug auf die Datentransfers in Konzernstrukturen hat sich nichts wesentlich geändert. Nach wie vor gibt es kein Konzernprivileg. Für zentrale Konzernanwendungen muss also weiterhin nach einer Zulässigkeitsgrundlage beim »einsendenden« Einzelunternehmen gesucht werden. Durch die Definition des Begriffs »Unternehmensgruppe« gibt die DSGVO aber den Hinweis, dass innerhalb einer solchen Gruppe ein berechtigtes Interesse für einen Datentransfer bestehen kann. Benötigt wird aber weiterhin eine eigeständige Zulässigkeitsgrundlage. Im Falle von Übermittlungen nach außerhalb der EU muss geprüft werden, ob dort ein angemessenes Datenschutzniveau besteht. Dass bei Transfers von Beschäftigtendaten in die USA das sogenannte Privacy Shield hierfür ungeeignet ist, haben wir in einem Gutachten dargestellt.
Mehr lesen im Magazin der CuA 11/2017, S. 7 und bei Peter Wedde, Neuer Datenschutz - das ist jetzt zu tun, in: CuA 11/2017, 30 ff.
© bund-verlag.de (ol)
